Ik heb een git pre-push hook gebouwd die een LLM gebruikt om je diffs te scannen op geheimen voordat ze je machine ooit verlaten. Zo werkt het 🧵

Wanneer je git push uitvoert, wordt de hook eerst geactiveerd. Het bepaalt wat nieuw is - ofwel alle commits op een nieuwe branch, of alleen de nieuwe commits op een bestaande - en genereert een git diff van precies wat er op het punt staat om verzonden te worden.

Die diff wordt naar de Kimi CLI gestuurd met een strak afgebakende prompt. Het model krijgt de instructie om te reageren met EXACT één van de twee strings: SAFE_TO_PUSH of BLOCK_PUSH.

Het scant naar de gebruikelijke verdachten: - API-sleutels (OpenAI, Anthropic, AWS…) - Wachtwoorden & auth-tokens - Privésleutels (SSH, SSL, JWT-geheimen) - DB-verbindingstrings met inloggegevens - .env-bestanden die in een commit zijn geslopen

Als het terugkomt als BLOCK_PUSH, verlaat de hook met 1 — de push wordt afgewezen, en je ziet precies welke regels het hebben getriggerd, plus een ernstclassificatie. Los het op, en push dan opnieuw.

Het mooie aan het gebruik van een LLM hier in plaats van regex-patronen: het begrijpt de context. Een regex voor "sk-" vangt OpenAI-sleutels maar mist een interne token genaamd PROD_SECRET. Het model vangt beide.